Zarządzenie nr Adm. 021 – 39 / 2023 Prezesa Sądu Rejonowego w Zwoleniu i Dyrektora Sądu Okręgowego w Radomiu z dnia 27 grudnia 2023 roku w sprawie wdrożenia „Zasad współadministrowania” w Sądzie Rejonowym w Zwoleniu
Zarządzenie nr Adm. 021 – 39 / 2023
Prezesa Sądu Rejonowego w Zwoleniu i Dyrektora Sądu Okręgowego w Radomiu
z dnia 27 grudnia 2023 roku
w sprawie wdrożenia „Zasad współadministrowania”
w Sądzie Rejonowym w Zwoleniu
Na podstawie art. 22 § 1 pkt 1 lit a oraz odpowiednio art. 31a § 1 pkt 1 ustawy z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych (Dz. U. z 2023 r. poz. 217 z późn. zm.), w ramach realizacji obowiązku wynikającego z art. 26 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE.L z 2016 r. nr 119 s. 1), dalej zwanym „Rozporządzeniem 2016/679”, zarządza się, co następuje:
§ 1
Sąd Rejonowy w Zwoleniu akceptuje postanowienia zawarte w dokumencie „Zasady współadministrowania”, stanowiącym załącznik nr 1 do niniejszego zarządzenia, będące rezultatem wspólnych uzgodnień współadministratorów - sądów powszechnych z obszaru całego kraju oraz Ministra Sprawiedliwości - dokonanych zgodnie z wymogami art. 26 ust.1 i 2 Rozporządzenia 2016/679 w związku ze wspólnym przetwarzaniem danych osobowych w sądowych systemach teleinformatycznych.
§ 2
- W związku z wejściem w życie z dniem 1 stycznia 2024 r. art. 2 pkt 1 ustawy z dnia 7 lipca 2023 r. o zmianie ustawy - Kodeks postępowania cywilnego, ustawy - Prawo o ustroju sądów powszechnych, ustawy - Kodeks postępowania karnego oraz niektórych innych ustaw (Dz. U. z 2023 r. poz. 1860), dalej zwaną „ustawą zmieniającą”, z dniem 1 stycznia 2024 r. przyjmuje się do stosowania w Sądzie Rejonowym w Zwoleniu postanowienia zebrane w dokumencie „Zasady wpóładministrowania” w zakresie dotyczącym realizacji zadań, o których mowa w art. 2 pkt 1 ustawy zmieniającej.
- Z dniem 14 marca 2024 r., w związku z wejściem w życie przepisu art. 2 pkt 15 ustawy zmieniającej, postanowienia zebrane w dokumencie „Zasady wpóładministrowania” przyjmuje się do stosowania w Sądzie Rejonowym w Zwoleniu w pełnym zakresie.
§ 3
Niniejsze zarządzenie wraz z załącznikiem nr 1 podlega publikacji na stronie BIP Sądu Rejonowego w Zwoleniu (www.zwolen.sr.gov.pl).
§ 4
Zarządzenie wchodzi w życie z dniem podpisania.
Dyrektor Sądu Okręgowego
w Radomiu
Monika Maciąg
Prezes Sądu Rejonowego
w Zwoleniu
Piotr Chudzio
Zał. nr 1
ZASADY WSPÓŁADMINISTROWANIA
Preambuła
-
- Administratorzy danych osobowych, identyfikowani jako Współadministratorzy danych przetwarzanych w sądowych systemach teleinformatycznych (zwani dalej również: Stronami), kierując się potrzebą określenia odpowiednich zakresów swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z art. 26 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO) oraz dążeniem do zapewnienia najwyższych gwarancji ochrony danych osobowych w sądowych systemach teleinformatycznych, w wyniku wspólnych uzgodnień wypracowali niniejszy dokument (zwany dalej: Zasadami współadministrowania).
- Niniejszy dokument odzwierciedla odpowiednie zakresy obowiązków i odpowiedzialności Współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane przetwarzane są w sądowych systemach teleinformatycznych.
- Zasadnicza treść uzgodnień będzie udostępniana podmiotom, których dane przetwarzane są w sądowych systemach teleinformatycznych. Udostępnienie nastąpi w formie publikacji na stronach podmiotowych BIP sądów oraz Ministerstwa Sprawiedliwości.
- Niniejsze uzgodnienia stanowią podstawę do wypracowania wspólnych uzgodnień pomiędzy Współadministratorami danych identyfikowanymi w procesach przetwarzania danych osobowych realizowanych na obszarze właściwości poszczególnych sądów apelacyjnych i nie stoją na przeszkodzie bardziej szczegółowemu uregulowaniu tych zasad współadministrowania pomiędzy nimi, a wynikających ze specyfiki tych jednostek i możliwości organizacyjno-technicznych.
- Realizacja postanowień niniejszego dokumentu nie może naruszać niezawisłości sędziowskiej oraz konstytucyjnej zasady trójpodziału władzy.
- 1.
Podstawa prawna
Współadministratorzy, przetwarzając dane osobowe, regulują zasady dotyczące tego przetwarzania tak, aby odpowiadały one w pełni przepisom:
-
- Zarządzenia Ministra Sprawiedliwości z dnia 29 lipca 2022 roku w sprawie powierzenia sądom apelacyjnym wykonywania czynności związanych z projektowaniem, wdrażaniem i utrzymywaniem systemów teleinformatycznych (Dz. Urz. MS z 2022 r. poz. 155 z uwzględnieniem aktów zastępujących albo zmieniających uregulowany w zarządzeniu zakres; zwane dalej: Zarządzeniem);
- Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; zwane dalej: RODO);
- Ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. U z 2018 r. poz. 1000, tj. Dz. U z 2019 r. poz. 1781);
- Ustawy z dnia 14 grudnia 2018 roku o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz.125, tj. Dz. U z 2023 r. poz. 206; zwana dalej: uDODO);
- Ustawy z dnia 27 lipca 2001 r. - Prawo o ustroju sądów powszechnych (Dz. U z 2001 r. poz. 1070, tj. Dz. U z 2023 poz. 217 z późn. zm.; zwana dalej: PUSP);
- Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2023 r. poz. 913) z późn. zm.; zwana dalej: UCyber);
- oraz innych przepisów w zakresie ochrony danych osobowych,
a także by spełniały wymagania bezpieczeństwa informacji i cyberbezpieczeństwa przewidziane dla tego typu systemów teleinformatycznych oraz uwzględniały zalecenia i rekomendacje wydawane przez właściwe w tym obszarze podmioty i instytucje.
- 2.
Poszczególni Współadministratorzy identyfikują następujące cele przetwarzania:
- realizacja ustawowo określonych kompetencji w zakresie informatyzacji sądownictwa i współdziałanie w tym obszarze poprzez centralizację sądowych systemów teleinformatycznych i zasobów teleinformatycznych zmierzającą do budowy jednolitego scentralizowanego środowiska teleinformatycznego służącego do bezpiecznego przetwarzania danych, w tym w szczególności danych osobowych;
- współdziałanie przy realizacji zadań i obowiązków dotyczących utrzymania i rozwoju sądowych systemów teleinformatycznych oraz infrastruktury niezbędnej do zapewnienia właściwego funkcjonowania tych systemów, w szczególności tych, o których mowa w Zarządzeniu;
- współdziałanie w zakresie dostępu do danych, w tym danych osobowych, w zakresie niezbędnym do wykonywania czynności służbowych przez administratorów systemów teleinformatycznych;
- współdziałanie w zakresie informatyzacji sądownictwa mające na celu optymalizację kosztów funkcjonowania resortu sprawiedliwości;
- zapewnienie jednolitego poziomu świadczonych usług, obsługi sądowych systemów teleinformatycznych i zapewnienia bezpieczeństwa informacji i ochrony danych osobowych przetwarzanych w tych systemach;
- dążenie do uregulowania zasad dotyczących funkcjonowania, utrzymania i korzystania z sądowych systemów teleinformatycznych, aby odpowiadały one w pełni przepisom o ochronie danych osobowych, a także by spełniały wymagania bezpieczeństwa informacji i cyberbezpieczeństwa przewidziane dla tego typu systemów oraz uwzględniały zalecenia i rekomendacje wydawane przez właściwe w tym obszarze podmioty i instytucje.
- 3.
Współadministratorzy
- Na potrzeby niniejszego dokumentu identyfikuje się administratorów danych dokonujących:
- przetwarzania podstawowego lub merytorycznego (tzw. administratorzy merytoryczni) – realizowanego w oparciu o kompetencje regulowane właściwymi przepisami prawa przez odpowiednio Ministra Sprawiedliwości oraz poszczególne sądy korzystające z sądowych systemów teleinformatycznych (np. sprawowanie wymiaru sprawiedliwości, działalność administracyjna, czynności kadrowo – finansowe, itp.) ;
- przetwarzania pomocniczego lub technicznego (tzw. administratorzy techniczni) – realizowanego przez dyrektorów sądów apelacyjnych i odpowiednio Ministra Sprawiedliwości w ramach ustawowych i powierzonych zadań związanych z informatyzacją sądownictwa lub obsługą informatyczną sądów; administrator techniczny realizuje zadania związane z informatyzacją sądownictwa, w tym zapewnia bezpieczne i zgodne z prawem przetwarzanie danych osobowych w sądowych systemach teleinformatycznych.
- Administratorzy ci wspólnie identyfikowani są jako Współadministratorzy danych osobowych przetwarzanych w sądowych systemach teleinformatycznych.
- 4.
Sądowe systemy teleinformatyczne
- Na potrzeby niniejszego dokumentu identyfikuje się sądowe systemy teleinformatyczne, dla których zastosowanie mają poczynione w niniejszym dokumencie wspólne uzgodnienia Współadministratorów:
- sądowe systemy teleinformatyczne o zasięgu ogólnokrajowym, wdrażane i utrzymywane przez Ministra Sprawiedliwości na podstawie art. 175da § 1 PUSP lub powierzone do utrzymania dyrektorom właściwych sądów apelacyjnych na podstawie art. 175da § 7 PUSP, udostępniane do korzystania wszystkim sądom powszechnym z obszaru całego kraju (tzw. systemy centralne);
- sądowe systemy teleinformatyczne centralizowane na obszarze apelacji – utrzymywane i administrowane w ustalony na obszarze apelacji sposób przez dyrektora sądu apelacyjnego w oparciu o art. 31a § 1a PUSP;
- sądowe systemy teleinformatyczne lokalne, dla których określono, że dyrektor sądu apelacyjnego zapewnia utrzymanie lub obsługę informatyczną w oparciu o art. 31a § 1a PUSP.
- Administratorzy przetwarzający dane w sądowych systemach teleinformatycznych określonych w ust. 1 wspólnie identyfikowani są jako Współadministratorzy dla tych danych osobowych.
- Strony współużytkują sądowe systemy teleinformatyczne. Systemy, o których mowa w ust. 1 pkt 1 powyżej wskazane zostały w Załączniku nr 1 do niniejszego dokumentu – „Wykaz sądowych systemów teleinformatycznych (centralnych)”.
- Dyrektorzy sądów apelacyjnych tworzą wykazy systemów, o których mowa w ust. 1 pkt 2 i 3 powyżej, użytkowanych na obszarze danej apelacji.
- 5.
Oświadczenia Współadministratorów
-
- Współadministratorzy wspólnie ustalają cele oraz sposoby przetwarzania danych w sądowych systemach teleinformatycznych na zasadach współadministrowania w rozumieniu art. 26 RODO i art. 33 uDODO.
- Strony oświadczają, że dołożą wszelkich starań, aby współpraca podjęta w ramach czynności regulowanych niniejszym dokumentem skutkowała podniesieniem poziomu bezpieczeństwa sądowych systemów teleinformatycznych i zgromadzonych w nich danych osobowych.
- Każdy ze Współadministratorów wyznaczył inspektora ochrony danych osobowych, którego dane kontaktowe umieszczone są na stronach podmiotowych BIP sądów oraz Ministerstwa Sprawiedliwości.
- 6.
Opis przetwarzania oraz podział obowiązków pomiędzy Współadministratorów
- Na warunkach określonych niniejszym dokumentem, Współadministratorzy przetwarzają dane osobowe wprowadzone do sądowych systemów teleinformatycznych.
- Współadministratorzy wykonują prawa administratora danych w sądowych systemach teleinformatycznych w rozumieniu RODO tylko w zakresie operacji i czynności na danych osobowych, za które odpowiadają, zaś charakter i cel przetwarzania określony jest rolą, jaką Współadministratorom przyznaje się w sądowych systemach teleinformatycznych na potrzeby realizacji przypisanych zadań, tj. administratora merytorycznego lub administratora technicznego.
- Współadministratorzy przetwarzając dane osobowe w sądowych systemach teleinformatycznych zobowiązani są do:
- wdrożenia i stosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych we wdrażanych, utrzymywanych i użytkowanych sądowych systemach teleinformatycznych, spełniających wszystkie wymogi zapisów RODO, uDODO i pozostałych przepisów w zakresie ochrony danych osobowych, a także wymagania przewidziane dla bezpieczeństwa informacji i UCyber;
- zagwarantowania zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności sądowych systemów teleinformatycznych, a także zdolności do szybkiego przywrócenia dostępności danych osobowych w razie incydentu lub naruszenia ochrony danych osobowych;
- regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, uwzględniając przy tym stan wiedzy technicznej, koszty oraz charakter, zakres, kontekst i cele przetwarzania danych osobowych oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze;
- wzajemnego, niezwłocznego informowania się o zidentyfikowanych ryzykach, bądź podatnościach mających wpływ na przetwarzanie danych w użytkowanych sądowych systemach teleinformatycznych.
- Każdy ze Współadministratorów jest zobowiązany do wdrożenia środków organizacyjnych, a także mechanizmów uwierzytelniania oraz nadzoru działań w sądowych systemach teleinformatycznych, w szczególności przez:
- zabezpieczenie danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem RODO, zmianą, utratą, uszkodzeniem lub zniszczeniem;
- przeszkolenie w zakresie przepisów dot. ochrony danych osobowych oraz zasad ochrony danych osobowych obowiązujących u danego Współadministratora przed dopuszczeniem do pracy każdej osoby, której właściwy Współadministrator nadaje uprawnienia dostępowe do danych osobowych;
- stosowanie procedur nadawania, odbierania i modyfikowania uprawnień dostępowych, z uwzględnieniem zapisów § 9, w tym zapewnienie, że dostęp do danych osobowych posiadają wyłącznie osoby upoważnione do ich przetwarzania;
- zapewnienie kontroli nad prawidłowością przetwarzania danych osobowych;
- dochowanie szczególnej staranności aby osoby upoważnione do przetwarzania danych osobowych zachowały te dane oraz sposoby ich zabezpieczenia w tajemnicy, również po zakończeniu powierzonych do realizacji czynności;
- prowadzenie dokumentacji opisującej sposób przetwarzania danych osobowych oraz zastosowanych środków technicznych i organizacyjnych zapewniających ochronę informacji w sądowych systemach teleinformatycznych.
- Właściwi administratorzy techniczni odpowiadają, za zapewnienie odpowiednich obiektów, instalacji lub urządzeń infrastruktury telekomunikacyjnej wraz z odpowiednią przestrzenią dyskową (zapewniają w szczególności: (1) bezpieczeństwo fizyczne obiektu z posadowioną infrastrukturą techniczną; (2) serwery z oprogramowaniem i konfiguracją służącą do prawidłowego działania sądowego systemu teleinformatycznego; (3) infrastrukturę zasilającą i sieciową; (4) wykonanie kopii zapasowych, a także odpowiednią obsługę administratorską - realizowaną w przypadku Ministra Sprawiedliwości samodzielnie lub przez dyrektora sądu apelacyjnego wskazanego w Zarządzeniu - gwarantującą zachowanie wszystkich funkcjonalności sądowych systemów teleinformatycznych oraz zapewniającą wydajność, bezpieczeństwo, dostępność, integralność i niezawodność.
- W zakresie sądowych systemów teleinformatycznych, o których mowa w Zarządzeniu, za czynności opisane w ustępie powyżej odpowiada, zgodnie z Zarządzeniem:
- Minister Sprawiedliwości dla systemów centralnych, dla których w załączniku nr 1 do niniejszych Zasad został wskazany jako administrator techniczny, z wyłączeniem czynności administrowania systemem w przypadku tych systemów, dla których w załączniku nr 1 jako odpowiedzialny za administrowanie wskazany został dyrektor danego sądu apelacyjnego;
- dyrektor sądu apelacyjnego dla systemów centralnych, dla których w załączniku nr 1 do niniejszych Zasad został wskazany jako administrator techniczny oraz dla systemów teleinformatycznych scentralizowanych w danej apelacji; rodzaj i zakres czynności realizowanych w lokalnych systemach teleinformatycznych zostanie określony na obszarze danej apelacji.
- Minister Sprawiedliwości w odniesieniu do administrowanych systemów centralnych i odpowiednio dyrektor sądu apelacyjnego, któremu na podstawie Zarządzenia powierzono administrowanie w systemach centralnych uprawniony jest do inicjowania działań zmierzających do podnoszenia standardów bezpieczeństwa w tych systemach oraz dokumentowania tego procesu, ponadto zobowiązany jest do opracowywania, wdrażania, udostępniania i przechowywania dokumentacji bezpieczeństwa informacji związanej z administrowaniem systemem centralnym.
- Dyrektorom sądów apelacyjnych w odniesieniu do systemów centralizowanych na obszarze apelacji przysługują kompetencje analogiczne, jak opisane w ustępie powyżej. Dokumentacja ta opracowywana jest sukcesywnie i w zakresie uzasadnionym potrzebami, okolicznościami i warunkami organizacyjno-technicznymi.
- Każdy z identyfikowanych podmiotów odpowiedzialnych za administrowanie systemami centralnymi wskazanymi w załączniku nr 1 do niniejszych Zasad zobowiązany jest uzupełnić dokumentację, o której mowa w ust. 7 w terminie 1 roku od daty wejścia w życie niniejszych Zasad.
- Współadministratorzy danych, identyfikowani w procesach przetwarzania danych w sądowych systemach teleinformatycznych scentralizowanych na obszarze danej apelacji, uprawnieni są do powoływania zespołów administratorów, inspektorów ochrony danych oraz innych według identyfikowanych potrzeb i możliwości organizacyjnych.
- Współadministratorzy realizują obowiązki wynikające z niniejszego dokumentu kierując się dokumentacją, o której mowa w ust. 7 i 8 oraz własną wewnętrzną dokumentacją, w tym politykami, procedurami regulującymi ochronę informacji i danych osobowych.
- Współadministratorzy zapewniają, że wszyscy pracownicy są regularnie szkoleni z zakresu ochrony danych osobowych, w szczególności w zakresie procedur ich zabezpieczania i przetwarzania zgodnie z zapisami niniejszego dokumentu i regulacjami wewnętrznymi danego Współadministratora.
- Zmiany wprowadzane w dokumentacji o której mowa w ust. 7 i 8 poprzedza się w miarę możliwości konsultacjami z pozostałymi Współadministratorami, w szczególności jeśli te zmiany mogłyby wpłynąć na bezpieczeństwo wykonywanego przez nich przetwarzania danych osobowych, a także aby zapewnić spójność z obowiązującą u nich dokumentacją.
- 7.
Zachowanie poufności
-
- Współadministratorzy zobowiązani są do zachowania w tajemnicy wszelkich informacji uzyskanych w związku z przetwarzaniem danych osobowych w sądowych systemach teleinformatycznych oraz sposobów ich zabezpieczenia i bezpieczeństwa związanych z nimi pozostałych usług.
- Współadministratorzy są odpowiedzialni za zobowiązanie swoich pracowników, współpracowników, przedstawicieli lub podwykonawców do przestrzegania zasad poufności określonych w niniejszym dokumencie.
- Obowiązki Współadministratorów do zachowania poufności danych osobowych, sposobów ich zabezpieczenia i bezpieczeństwa związanych z nimi usług pozostają w mocy bezterminowo.
- 8.
Obsługa incydentów i naruszeń ochrony danych przetwarzanych w sądowych systemach teleinformatycznych
-
- Współadministratorzy zobowiązują się niezwłocznie informować Współadministratorów (których skutki zdarzenia mogą dotknąć lub których udział jest niezbędny w zapobieżeniu dalszym negatywnym skutkom, współpracy lub ocenie zdarzenia) o podejrzeniu wystąpienia zdarzenia w sądowych systemach teleinformatycznych, które może wywoływać negatywne skutki dla podmiotów danych przetwarzanych w tych systemach, o ile to możliwe, w ciągu 24 godzin od powzięcia wiedzy o takim zdarzeniu, z zastrzeżeniem ust. 6.
- Współadministratorzy, o których mowa w ust. 1 podejmą niezwłocznie działania w celu ustalenia miejsca i zakresu zdarzenia, ustalenia przyczyn zaistniałego zdarzenia oraz wszystkich sądów powszechnych dotkniętych skutkami zdarzenia. Ustalenia powyższe odbywają się z udziałem inspektorów ochrony danych tych sądów powszechnych dotkniętych skutkami zdarzenia i administratorów systemu właściwych dla danego sądowego systemu teleinformatycznego, którego dotyczy zdarzenie.
- W przypadku, gdy zdarzenie skutkuje naruszeniem ochrony danych osobowych, Współadministratorzy, o których mowa w ust. 1 uzgadniają odpowiedzialnego za wywiązanie się z obowiązków, o których mowa w art. 33 RODO (w tym odpowiedniego dokonania zgłoszenia naruszenia ochrony danych organowi nadzorczemu) oraz art. 34 RODO (poinformowania o zaistniałym naruszeniu podmiotów danych), przy czym obowiązek poinformowania wynikający z art. 34 RODO będzie realizował każdorazowo ten ze Współadministratorów (wykonujący przetwarzanie merytoryczne), który wprowadził dane do sądowego systemu teleinformatycznego.
- Współadministratorzy, o których mowa w ust. 3 zobowiązują się do informowania wzajemnego o realizacji obowiązków określonych w tym ustępie.
- Współadministratorzy, o których mowa w ust. 1 współpracują ze sobą w celu ustalenia wszystkich faktów niezbędnych do udokumentowania i dokonania zgłoszenia, o którym mowa w art. 33 RODO i realizacji obowiązku wynikającego z art. 34 RODO oraz ograniczenia lub eliminacji negatywnych skutków oraz wyeliminowania ryzyka ponownego wystąpienia zdarzenia w przyszłości.
- Jeżeli zdarzenie stanowi incydent bezpieczeństwa lub naruszenie ochrony danych osobowych zaistniałe w wyniku błędu pracownika sądu dokonującego przetwarzania merytorycznego lub technicznego i zdarzenie to ma charakter lokalny nie ma konieczności informowania pozostałych Współadministratorów. Na potrzeby niniejszego dokumentu uznaje się, że charakter lokalny mają zdarzenia nie mające wpływu na bezpieczeństwo sądowego systemu teleinformatycznego i pozostałych danych osobowych przetwarzanych w tym systemie, związane z nieprawidłowym usunięciem, udostępnieniem, przesłaniem lub zmianą danych osobowych wprowadzonych do systemu przez Współadministratora merytorycznego, a skutki tego zdarzenia mogą być usunięte lub ograniczone przez tego Współadministratora.
- 9.
Upoważnienia do przetwarzania danych osobowych w sądowych systemach teleinformatycznych
- Administrator, który realizuje przypisany mu proces przetwarzania danych osobowych, upoważnia do przetwarzania danych osobowych wszystkie osoby, które pod jego nadzorem wykonują operacje przetwarzania danych składające się na realizowany proces - tj.:
- Administrator merytoryczny (sądy i właściwe ich organy) – upoważnia osoby do przetwarzania danych osobowych, które kieruje do wykonywania czynności w ramach przetwarzania merytorycznego (w szczególności pracowników lub osoby wykonujące zadania w oparciu o inną podstawę prawną - np. umowę cywilno-prawną - na zasadach jak pracownicy);
- Administrator techniczny (dyrektor sądu apelacyjnego lub Minister Sprawiedliwości) – upoważnia osoby do przetwarzania danych osobowych, które kieruje do wykonywania czynności w ramach przetwarzania technicznego (w szczególności pracowników lub osoby wykonujące zadania w oparciu o inną podstawę prawną - np. umowę cywilno-prawną – na zasadach jak pracownicy), tj. odpowiednio informatyzacji sądownictwa, obsługi informatycznej z uwzględnieniem odstępstw i ograniczeń wynikających z przepisów prawa (m.in. zasady trójpodziału władzy, ustawowego zakazu dostępu do akt postępowań) oraz z przyjętej odmiennej struktury systemu, np. Krajowy Rejestr Karny albo odmiennych warunków organizacyjno- technicznych przyjętych w danej apelacji.
- Administrator, który upoważnił osobę do przetwarzania danych osobowych, organizuje pracę tej osoby, powierza czynności służbowe i rozlicza z ich wykonania oraz wyciąga ewentualne konsekwencje służbowe. Tym samym uznaje się, że dopuszczenie kadry informatycznej sądu apelacyjnego do realizacji zadań z zakresu informatyzacji sądownictwa i obsługi informatycznej w pozostałych sądach powszechnych z obszaru właściwości tego sądu apelacyjnego nie wymaga nadawania dodatkowego upoważnienia do przetwarzania danych osobowych przez dyrektora czy prezesa tego sądu.
- Forma upoważnienia do przetwarzania danych osobowych nie jest zastrzeżona w przepisach, Współadministratorzy nie zastrzegają jej również w niniejszym dokumencie. Celem Współadministratorów jest, aby forma ta zapewniała rozliczalność celu i zakresu przetwarzanych danych osobowych.
- Za równoważne papierowej postaci upoważnienia (które może przyjąć formę zarządzenia, dokumentu upoważnienia, zakresu obowiązków, itp.) uważa się elektroniczną jego postać. Za równoważne nadaniu upoważnienia uważa się w szczególności nadanie ról (i odpowiednich uprawnień) w Systemie Zarządzania Tożsamością – dalej SZT (poprzez proces wnioskowania tzw. workflow SZT) lub systemie równoważnym (np. e-wniosek), bowiem proces ten pozwala określić zakres ról (i odpowiednio przypisanych uprawnień) w sądowych systemach teleinformatycznych, zapewnia, że właściwe organy sądu lub upoważnione przez nie osoby wnioskują i zatwierdzają wniosek.
- Nadawanie ról (i odpowiednich uprawnień) kadrze informatycznej sądu apelacyjnego (zatrudnianej po dniu 1 stycznia 2024 r.) do sądowych systemów teleinformatycznych pozostałych sądów powszechnych z obszaru danej apelacji, w celu realizacji zadań z zakresu informatyzacji sądownictwa lub obsługi informatycznej, będzie się odbywało przez workflow SZT. Proces workflow SZT zapewni, że kierownictwo sądu będzie informowane o fakcie wyznaczenia pracownika do obsługi informatycznej tego sądu. Proces ten inicjowany jest przez sąd apelacyjny (dyrektora sądu apelacyjnego na podstawie PUSP lub inną wyznaczoną do tego celu osobę).
- Administrator merytoryczny odpowiada za zarządzanie dostępami pozostałych pracowników upoważnianych do realizacji czynności w ramach przetwarzania merytorycznego w ramach tej jednostki, a także za ograniczenie dostępu do sądowych systemów teleinformatycznych wyłącznie do osób, dla których dostęp taki jest niezbędny w celu realizacji przypisanych im obowiązków służbowych lub innych zleconych do realizacji zadań.
- Proces upoważniania do przetwarzania danych osobowych w ramach przetwarzania merytorycznego inicjuje właściwy przełożony (w imieniu administratora merytorycznego) tego pracownika lub inna upoważniona do tego osoba.
- Złożenie wniosku o nadanie ról (i odpowiednich uprawnień) i jego zaakceptowanie w workflow SZT jest tożsame z wydaniem upoważnienia.
- Role (i odpowiednie uprawnienia) w sądowych systemach teleinformatycznych lub procesach przetwarzania danych osobowych, które nie są zintegrowane lub obsługiwane w ramach workflow SZT, nadawane mogą być zgodnie z obowiązującą dotychczas w sądach procedurą. W przypadku, w którym procesu nadawania ról (i odpowiednio uprawnień) nie realizuje się przez workflow SZT lub inny równoważny system, administratorzy prowadzą elektroniczną ewidencję uprawnień w przyjęty w sądzie sposób, która powinna być odpowiednio archiwizowana. Formę i wzór upoważnienia pozostawia się w takim wypadku do decyzji poszczególnych administratorów, pod warunkiem, że jest zgodny z obowiązującymi w jednostkach wewnętrznymi procedurami.
- Nadanie upoważnienia do przetwarzania danych osobowych powinno zostać poprzedzone odebraniem zobowiązania do zachowania poufności i zapoznania się z właściwą dokumentacją bezpieczeństwa obowiązującą u administratora danych, który nadaje upoważnienie. O ile proces ten obsługiwany jest w SZT, nie wymaga dodatkowych oświadczeń i realizowany jest wyłącznie w tym systemie.
- Proces upoważniania w Ministerstwie Sprawiedliwości nie jest regulowany niniejszym dokumentem i odbywa się na zasadach przyjętych w tej jednostce.
- 10.
Obowiązki informacyjne Współadministratorów
- Administrator merytoryczny odpowiada za zgodne z prawem zbieranie i utrwalanie danych osobowych, a także wykonywanie dalszych operacji na danych osobowych swojej jednostki wprowadzonych do sądowych systemów teleinformatycznych. Administrator merytoryczny zarządza danymi osobowymi swojej jednostki wprowadzonymi do sądowych systemów teleinformatycznych, w tym odpowiada za realizację zasady minimalizacji tych danych, ograniczenia przetwarzania oraz za ich prawidłowość i rzetelność.
- Administrator merytoryczny odpowiada za realizację obowiązków informacyjnych przewidzianych w art. 13 i 14 RODO w odniesieniu do podmiotów danych, których dane wprowadza do sądowych systemów teleinformatycznych.
- Na administratorze merytorycznym spoczywa obowiązek odpowiadania na żądania osoby, której dane wprowadza i przetwarza w sądowych systemach teleinformatycznych w zakresie wykonywania jej praw określonych w rozdziale III RODO, a administrator techniczny zobowiązuje się udzielać pomocy administratorowi merytorycznemu przy realizacji tych praw w sytuacji, gdy pomoc taka okaże się niezbędna.
- Współadministratorzy będą współpracowali przy zapewnieniu realizacji obowiązków wynikających z art. 32–36 RODO.
- Współadministratorzy zobowiązują się udzielać sobie nawzajem wszelkich informacji niezbędnych dla wykazania wywiązania się z obowiązków określonych w RODO, uDODO, a także zobowiązani są, bez zbędnej zwłoki, powiadomić właściwych pozostałych Współadministratorów o wszelkich skargach, pismach, kontrolach organu nadzorczego, o postępowaniach sądowych i administracyjnych pozostających w związku z realizacją zasad współadministrwania oraz udostępnić na wniosek drugiego Współadministratora wszelką dokumentację z tym związaną, o ile nie istnieją ku temu przeszkody natury prawnej.
- Każdy ze Współadministratorów zobowiązuje się do współpracy i wzajemnego wsparcia w razie postępowania przed organem nadzorczym lub sporu sądowego z podmiotem danych, którego dane przetwarzane są w oparciu o zasady współadministrowania.
- Każdy ze Współadministratorów odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO, uDODO nakłada bezpośrednio na administratora, jak i za szkody spowodowane niezastosowaniem adekwatnych środków bezpieczeństwa.
- Każdy ze Współadministratorów odpowiada za działanie i zaniechanie osób, przy pomocy których będzie dokonywał przetwarzania danych osobowych w sądowych systemach teleinformatycznych, jak za działanie lub zaniechanie własne.
- 11.
Powierzenie przetwarzania danych osobowych
-
- Współadministratorzy, w celu realizacji przypisanych im ustawowo zadań (przetwarzania merytorycznego lub przetwarzania technicznego), mogą powierzyć przetwarzanie danych osobowych w sądowych systemach teleinformatycznych – co do którego identyfikowani są jako administratorzy - w drodze umowy zawartej w formie pisemnej, w tym elektronicznej lub odpowiednio przyjętych klauzul umownych innym podmiotom przetwarzającym, na co pozostali Współadministratorzy niniejszym wyrażają zgodę. Każdy ze Współadministratorów może powierzyć przetwarzanie danych osobowych tylko w zakresie, w jakim przetwarzanie to przysługuje temu Współadministratorowi.
- Dokonując powierzenia, Współadministratorzy stosują w szczególności art. 28 ust. 4 i art. 32 ust. 2 i 4 RODO oraz odpowiednio inne przepisy o ochronie danych osobowych.
- Strona powierzająca przetwarzanie danych osobowych ma obowiązek zobowiązać podmiot przetwarzający do realizacji obowiązków w zakresie ochrony danych osobowych i bezpieczeństwa informacji wynikających z powszechnie obowiązujących przepisów, polityk i instrukcji obowiązujących u strony powierzającej, a udostępnionych podmiotowi przetwarzającemu oraz innych dokumentów, o ile dotyczą tego przetwarzania ze względu na naturę konkretnego powierzenia lub obowiązku.
- Współadministratorzy nie przewidują powierzenia danych osobowych podmiotowi przetwarzającemu z państwa trzeciego (tj. spoza Unii Europejskiej/Europejskiego Obszaru Gospodarczego) bez wcześniejszej analizy ewentualnych ryzyk z tym związanych i zastosowania adekwatnych do tych ryzyk zabezpieczeń techniczno-organizacyjnych i prawnych.
- W przypadku zlecenia przez jednego ze Współadministratorów czynności podmiotowi przetwarzającemu z państwa trzeciego (tj. spoza Unii Europejskiej/Europejskiego Obszaru Gospodarczego), strona powierzająca stosuje mechanizmy przesyłania danych zgodnie z art. 44 i następnymi RODO. W szczególności strona powierzająca w wystarczający sposób zabezpiecza wdrożenie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych spełniało wymagania RODO, zapewnia ochronę praw osób, których dane dotyczą oraz dysponuje dokumentacją stosownych zabezpieczeń.
- Jeżeli podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków, pełna odpowiedzialność za działania i zaniechania tego podmiotu spoczywa na tym Współadministratorze, który powierzył mu przetwarzanie danych osobowych.
- Współadministratorzy, w przyjęty między nimi sposób, informują się o podmiotach, którym powierzono przetwarzanie danych osobowych.
- Strona powierzająca ma obowiązek nadzorować i rozliczać podmiot przetwarzający z realizowanych przez niego czynności.
- Współadministratorzy ustalają, że w razie konieczności będą współpracowali w określony miedzy nimi sposób przy realizacji umowy powierzenia przetwarzania danych osobowych.
- 12.
Postanowienia końcowe
-
- Niniejszy dokument zaczyna obowiązywać z dniem 1 stycznia 2024 r. w zakresie zadań określonych w art. 31a § 1a PUSP, w pozostałym zakresie z dniem 14 marca 2024 r.
- Postanowienia niniejszego dokumentu wygasają w przypadku i w zakresie, w jakim realizacja jego postanowień zostanie odpowiednio uregulowana w prawie krajowym lub unijnym.
- Integralną część niniejszego dokumentu stanowi załącznik nr 1 – Wykaz sądowych systemów teleinformatycznych (systemów centralnych). Zmiana treści tego załącznika nie stanowi zmiany postanowień niniejszego dokumentu i może wynikać wyłącznie ze zmian Zarządzenia. Zmiana załącznika wymaga jedynie poinformowania wszystkich Współadministratorów.
- Niniejsze Zasady zastępują wszelkie umowy powierzenia przetwarzania danych osobowych zawarte miedzy Współadministratorami, które z dniem wejścia w życie niniejszych Zasad przestają obowiązywać. Niniejsze zasady zobowiązują do przeglądu wszelkich porozumień i innych uzgodnień w zakresie przetwarzania danych osobowych w sądowych systemach teleinformatycznych i ich dostosowania do obowiązujących przepisów prawa powszechnego i niniejszych Zasad.
- Każdy ze Współadministratorów ma prawo zgłoszenia propozycji zmian postanowień zawartych w niniejszym dokumencie. Wymagane jest aby projekt zmian poprzedzony był konsultacjami z pozostałymi Współadministratorami. Konsultacje przeprowadza Współadministrator wnioskujący o zmianę. Uzgodnioną zmianę wnioskujący przekazuje - za pośrednictwem właściwego dla niego Dyrektora Sądu Apelacyjnego - Ministrowi Sprawiedliwości celem implementacji w niniejszych Zasadach.